FTP Passivo - Arquivo 0KB

aloisiopf
(usa Fedora)

Enviado em 30/08/2011 - 18:06h

Boa noite a todos.

Estou com problemas na implantação de um firewall em uma empresa. O problema é o seguinte: A empresa possui um serviço de FTP. Ela possui vários clientes, a maioria deles está transmitindo arquivos normalmente, o problema é que tem uma empresa que utiliza uma aplicação própria para enviar arquivos automaticamente em um período de tempo pré-estabelecido. Este cliente só pode operar com o FTP no modo passivo. Até aí tudo bem. Mas, isto está gerando um problema na comunicação de dados. Temos as seguintes configurações: O servidor FTP foi configurado para liberar uma range de portas altas, o cliente está conectando normalmente no servidor FTP, mas, na hora que vai transferir, a arquivo está com 0KB, ou seja está em branco, ta demorando muito para transmitir. O estranho é que isso só acontece com este cliente. Obs.: Eles estão atrás de um firewall também. Gostaria de saber o que devo fazer para resolver este problema. Desde já agradeço

renato_pacheco
(usa Debian)

Enviado em 30/08/2011 - 22:44h

Eu acho q vc deve utilizar o módulo nf_conntrack_ftp pra gerenciar essas portas, pois da forma q vc fez, as portas podem não ser as msm q vc liberou. O módulo mencionado faz esse controle, liberando as portas automaticamente pra vc (apenas para FTP).

aloisiopf
(usa Fedora)

Enviado em 02/09/2011 - 14:30h

Boa Tarde Renato.
Muito obrigado pela dica. Resolveu parte dos problemas. A empresa agora consegue transferir arquivos, mas, ainda existem alguns arquivos que ainda não estão sendo transmitidos, ficando com 0KB. Existe alguma coisa que pode ser feito para transmitir tais arquivos.

renato_pacheco
(usa Debian)

Enviado em 02/09/2011 - 14:34h

Bom... vc liberou só a porta 21 ou liberou as portas 21 e 20?

aloisiopf
(usa Fedora)

Enviado em 02/09/2011 - 16:08h

Liberei as portas 20 e 21 e uma range de portas altas (3100 - 3200).

renato_pacheco
(usa Debian)

Enviado em 03/09/2011 - 17:13h

É estranho, pois com aquele módulo resolveria o seu problema. Se o cliente tá rodando em modo passivo, era certo o funcionamento. Agora teria q averiguar se existe algum bloqueio do "lado d lá".

aloisiopf
(usa Fedora)

Enviado em 05/09/2011 - 20:30h

Boa noite Renato.
O problema ainda persiste. Para fazer uns teste até fiz uma regra com a política padrão como ACCEPT para ver se resolvia. Abaixo segue as regras que fiz com a política ACCEPT. Se puder me ajudar agradeço.


#!/bin/sh

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ip_tables
modprobe ipt_limit
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_mark
modprobe ipt_MASQUERADE
modprobe ipt_TOS
modprobe nf_conntrack_ftp


iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z


iptables -P FORWARD ACCEPT


iptables -t nat -A POSTROUTING -s $IP_LAN -o $INT_WAN -j MASQUERADE

iptables -A INPUT -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 2100:2200 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A INPUT -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT


iptables -A FORWARD -s $IP_LAN -p tcp -m multiport --dports 20,21,2100:2200 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

iptables -A FORWARD -d $DOMINIO_WAN_NOIP -p tcp --sport 1024: --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d $DOMINIO_WAN_NOIP -p tcp --sport 1024: --dport 2100:2200 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d $DOMINIO_WAN_NOIP -p tcp --sport 1024: --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -t nat -A PREROUTING -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 20 -j DNAT --to $IP_SERVER:20
iptables -t nat -A PREROUTING -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 21 -j DNAT --to $IP_SERVER:21
iptables -t nat -A PREROUTING -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --sport 1024: --dport 3100:3200 -m state --state ESTABLISHED,RELATED -j DNAT --to $IP_SERVER:3100-3200

iptables -t mangle -A OUTPUT -o $INT_LAN -p tcp -m multiport --dports 20,21,2100:2200 -j TOS --set-tos 8


iptables -t mangle -A PREROUTING -i $INT_WAN -p tcp -m multiport --dports 20,21,2100:2200 -j TOS --set-tos 4


echo 1 > /proc/sys/net/ipv4/ip_forward

renato_pacheco
(usa Debian)

Enviado em 06/09/2011 - 09:25h

Aprendi uma coisa no FTP. Estou fuçando com ele esses dias e percebi q, quando vc libera as portas altas (no caso FTP passivo), vc deve colocar o estado NEW junto às regras, senão ele não estabelece a conexão. Quais são as portas do FTP passivo? Qual é a regra q tá liberando essas portas?

aloisiopf
(usa Fedora)

Enviado em 06/09/2011 - 18:01h

Estou liberando no servidor FTP Filezilla Server uma range de portas altas de 2100-2200. Abaixo segue algumas configurações que utilizei.

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ip_tables
modprobe ipt_limit
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_mark
modprobe ipt_MASQUERADE
modprobe ipt_TOS
modprobe nf_conntrack_ftp

iptables -A INPUT -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 2100:2200 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A INPUT -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -d $DOMINIO_WAN_NOIP -p tcp --sport 1024: --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d $DOMINIO_WAN_NOIP -p tcp --sport 1024: --dport 2100:2200 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d $DOMINIO_WAN_NOIP -p tcp --sport 1024: --dport 20 -m state --state ESTABLISHED -j ACCEPT

iptables -t nat -A PREROUTING -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 20 -j DNAT --to $IP_SERVER:20
iptables -t nat -A PREROUTING -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --dport 21 -j DNAT --to $IP_SERVER:21
iptables -t nat -A PREROUTING -i $INT_WAN -d $DOMINIO_WAN_NOIP -p tcp --sport 1024: --dport 2100:2200 -m state --state ESTABLISHED,RELATED -j DNAT --to $IP_SERVER:2100-2200

renato_pacheco
(usa Debian)

Enviado em 08/09/2011 - 14:10h

Só uma pergunta: as variáveis $DOMINIO_WAN_NOIP e $INT_WAN estão localizados na sua rede ou fora? Só pra não errar na hora d fazer as regras.

aloisiopf
(usa Fedora)

Enviado em 08/09/2011 - 17:53h

As variáveis referem-se a conexão do velox ou seja externa.

renato_pacheco
(usa Debian)

Enviado em 09/09/2011 - 09:15h

Bom... então quando vc referencia o DOMINIO_WAN_NOIP, quer dizer q é o IP externo da sua rede ou da rede do seu cliente? Vc pode mencionar qual é o IP/endereço do seu cliente?